Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

인터페이스 정책

802.1X 서버 포트 인증

IEEE 802.1X 는 네트워크 포트 기반 네트워크 액세스 제어를 위한 IEEE 표준입니다. IEEE 802.1 네트워킹 프로토콜 그룹의 일부입니다. LAN에 연결하려는 디바이스에 인증 메커니즘을 제공합니다.

IEEE 802.1X는 IEEE 802에 대한 EAP(Extensible Authentication Protocol)의 캡슐화를 정의합니다. 이 프로토콜은 "LAN을 통한 EAP" 또는 EAPOL이라고 합니다.

802.1X 인증에는 신청자, 인증자, 인증 서버의 세 가지 당사자가 포함됩니다. 신청자 는 LAN에 연결하려는 클라이언트 디바이스(예: 서버)입니다. '신청자'라는 용어는 또한 인증자에 자격 증명을 제공하는 클라이언트에서 실행되는 소프트웨어를 언급하기 위해 상호 교환하는 데 사용됩니다. 인증자는 클라이언트와 네트워크 간의 데이터 링크를 제공하는 네트워크 디바이스이며 이더넷 스위치 또는 무선 액세스 포인트와 같은 두 네트워크 트래픽을 허용하거나 차단할 수 있습니다. 일반적으로 인증 서버 는 네트워크 액세스 요청을 수신하고 응답할 수 있는 신뢰할 수 있는 서버이며, 연결이 허용될 경우 인증자에게 알리고 해당 클라이언트의 연결 또는 설정에 적용해야 하는 다양한 설정을 알 수 있습니다. 인증 서버는 일반적으로 RADIUS 및 EAP 프로토콜을 지원하는 소프트웨어를 실행합니다. 인증 서버 소프트웨어가 인증자 하드웨어에서 실행되는 경우도 있습니다.

인증자는 보호된 네트워크의 보안 감시자 역할을 합니다. 신청자(즉, 클라이언트 디바이스)는 신청자의 ID가 검증되고 승인될 때까지 인증자를 통해 네트워크의 보호 측으로 액세스할 수 없습니다. 802.1X 포트 기반 인증을 사용하면 신청자는 먼저 인증자에게 필요한 자격 증명을 제공해야 합니다. 이는 네트워크 관리자가 사전에 지정한 것이며 사용자 이름/암호 또는 허용된 디지털 인증서를 포함할 수 있습니다. 인증자는 이러한 자격 증명을 인증 서버로 전달하여 액세스 권한 부여 여부를 결정합니다. 인증 서버가 자격 증명이 유효한 것으로 확인되면 인증자에게 이를 알리며, 이를 통해 신청자(클라이언트 디바이스)가 네트워크의 보호된 측면에 있는 리소스에 액세스할 수 있습니다.

또한 802.1X로 확장하면 인증 서버가 포트 구성 옵션을 인증자에 전달할 수도 있습니다. 예를 들어, RADIUS 값 쌍 속성을 사용하여 VLAN ID를 전달하여 신청자가 여러 VLAN 중 하나에 액세스할 수 있도록 하는 것입니다.

(출처: Apstra가 수정한 위키백과)

인터페이스 정책 설정 모음인 802.1X 서버 포트 인증을 통해 네트워크 디바이스에서 802.1X 구성을 관리할 수 있습니다.

802.1X 인터페이스 정책은 Junos(기술 미리 보기)와 Arista EOS 물리적 네트워크 디바이스에서만 지원됩니다. Juniper Evolved는 이 기능을 지원하지 않습니다.

참고:

Junos 802.1X 인터페이스 정책은 주니퍼 Apstra 기술 미리 보기 기능으로 분류되었습니다. 이러한 기능은 "있는 그대로"이며 자발적 사용입니다. Juniper Support는 이러한 기능을 사용할 때 고객이 경험하는 문제를 해결하고 지원 사례를 대신하여 버그 보고서를 생성합니다. 그러나 Juniper Tech Preview 기능에 대한 포괄적인 지원 서비스는 제공하지 못할 수 있습니다.

자세한 내용은 주니퍼 Apstra 기술 미리 보기 페이지를 참조하거나 Juniper 지원부에 문의하십시오.

이 정책 설정을 사용하면 네트워크에 액세스 권한을 제공하기 전에 네트워크가 블루프린트 내 L2 서버를 RADIUS 서버에 인증하도록 요구할 수 있습니다.

네트워크 운영자는 클라이언트가 EAP-TLS, 인증서, 간단한 사용자 이름 및 암호 또는 MAC 인증 바이패스를 사용하여 인증하도록 요구할 수 있습니다.

참고:

암호화 프로토콜, 인증서, EAP에 대한 지원은 RADIUS 신청자와 RADIUS 서버 간에 협상되며 스위치에 의해 제어되지 않습니다.

인증이 발생한 후, RADIUS 서버는 선택적으로 인증 시간에 VLAN ID 속성을 설정하여 신청자를 리프별 VLAN ID로 알려진 정의된 VLAN으로 이동할 수 있습니다.

이 섹션에서는 802.1X 서버 포트 인증 및 동적 VLAN 할당과 함께 사용할 인터페이스 정책을 만드는 데 필요한 작업을 설명합니다.

일반적인 시나리오

다음은 802.1X 포트 인증에 대한 일반적인 시나리오입니다.

디바이스는 802.1X를 지원하며, 자격 증명 및 VLAN은 Radius에서 구성됩니다.

  1. 디바이스(Supplicant)가 포트에 연결
  2. 스위치(인증자)는 신청자와 Radius 간의 EAP 협상을 중재합니다(인증 서버)
  3. 인증 시 Radius는 디바이스의 VLAN 번호를 포함하는 Access-Accept 메시지를 스위치로 보냅니다.
  4. 스위치는 지정된 VLAN에 디바이스 포트를 추가합니다.

디바이스는 802.1X를 지원하지만 자격 증명은 Radius에서 구성되지 않습니다.

  1. 디바이스(Supplicant)가 포트에 연결
  2. 스위치(인증자)는 신청자와 Radius 간의 EAP 협상을 중재합니다(인증 서버)
  3. 요청자를 위한 자격 증명을 찾지 못 한 Radius는 스위치에 Access-Reject 메시지를 보냅니다.
  4. 스위치는 지정된 폴백(일명 AuthFail/Parking) VLAN에 디바이스 포트를 추가합니다.

디바이스는 802.1X를 지원하지 않지만 디바이스 MAC 주소 Radius에서 구성됩니다.

  1. 디바이스(비 서플리컨트)가 포트에 연결
  2. 스위치(인증자)는 EAP-Request Identity 메시지에 대한 응답을 수신하지 않아 802.1X 지원이 없음을 나타냅니다.
  3. 스위치가 디바이스의 MAC 주소 Radius로 인증(인증 서버)
  4. Radius는 디바이스의 VLAN 번호를 포함하는 스위치에 Access-Accept 메시지를 보냅니다.
  5. 스위치는 지정된 VLAN에 디바이스 포트를 추가합니다.

디바이스는 802.1X를 지원하지 않으며 디바이스 MAC 주소 Radius에서 구성되지 않습니다.

  1. 디바이스(비 서플리컨트)가 포트에 연결
  2. 스위치(인증자)는 EAP-Request Identity 메시지에 대한 응답을 수신하지 않아 802.1X 지원이 없음을 나타냅니다.
  3. 스위치가 디바이스의 MAC 주소 Radius로 인증(인증 서버)
  4. radius는 MAC 주소 대한 레코드를 찾지 못합니다.
  5. Radius는 VLAN 없이 스위치에 Access-Reject 또는 Access-Accept 메시지를 보냅니다.
  6. 스위치는 지정된 폴백(일명 AuthFail/Parking) VLAN에 디바이스 포트를 추가합니다.

802.1X 인터페이스 정책 워크플로

  1. 가상 네트워크 생성(예: 데이터 VLAN, 폴백 VLAN, 동적 VLAN)
  2. AAA 서버 생성
  3. 802.1X 인터페이스 정책 생성
  4. 포트 및 폴백 VLAN 할당

인터페이스를 위한 가상 네트워크 생성

아래 표당 인터페이스 정책에 대한 가상 네트워크를 생성합니다. 리소스 풀을 사용하는 대신 모든 리프 디바이스 간에 일관된 VLAN ID를 사용하여 이러한 가상 네트워크를 만드는 것이 좋습니다. VLAN 생성에 대한 자세한 내용은 가상 네트워크를 참조하십시오.

매개 변수 설명
데이터 VLAN(포트에 할당) 포트에 하나 이상의 VLAN이 할당되면 인터페이스에 802.1X 구성이 할당됩니다. 포트에 할당된 VLAN이 없는 경우 인터페이스에서 802.1X 구성이 렌더링되지 않습니다. 인터페이스는 라우팅된 포트로 구성됩니다.
동적 VLAN(옵션, 포트가 아닌 리프 디바이스에 할당됨) RADIUS 서버 자체는 사용자(신청자)가 인증되고 승인될 때 VLAN ID를 동적으로 선택합니다. Apstra 소프트웨어는 동적 VLAN 할당을 제어할 수 없습니다. 이 결정은 스위치 구성이 아닌 RADIUS 구성에 의해 결정됩니다.
폴백 VLAN(옵션, 포트가 아닌 리프 디바이스에 할당됨)

인증 실패 시 사용자(신청자)에게 폴백 VLAN을 할당할 수 있습니다. 폴백을 위해 VLAN은 스위치 구성에 의해 제어됩니다.

RADIUS 동적 VLAN 또는 폴백 VLAN이 스위치에 존재해야 하지만 엔드포인트를 해당 VLAN에 바인딩할 필요는 없습니다. 스위치에만 존재해야 합니다.

인터페이스 정책을 위한 AAA 서버 생성

AAA 서버를 생성합니다. 자세한 내용은 AAA 서버(블루프린트)를 참조하십시오.

802.1x 인터페이스 정책 생성

인터페이스 또는 폴백 VLAN을 할당하기 전에 정책을 생성해야 합니다.

  1. 청사진에서 staged > 정책 > 인터페이스 정책으로 이동하고 인터페이스 정책 생성을 클릭합니다.
  2. 이름을 입력하고 드롭다운 목록에서 802.1x 를 선택합니다.
  3. 포트 제어를 선택합니다.
    • dot1x 활성화 - 네트워크에 대한 액세스 권한을 부여하기 전에 EAPOL 인증에 포트 필요.
    • 액세스 거부 - 포트를 완전히 차단합니다. 네트워크 액세스가 허용되지 않습니다. 다른 매개 변수는 필요하지 않습니다. 예: 격리 구성으로 감염될 수 있는 포트를 신속하게 비활성화합니다.
  4. 호스트 모드를 선택합니다.
    • 멀티 호스트** (기본) - 포트의 모든 MAC 주소가 첫 번째 인증 후 인증되도록 허용합니다. 첫 번째 호스트가 인증을 해제한 후 포트의 모든 MAC는 인증 해제됩니다.
    • 단일 호스트 - 단일 호스트가 인증할 수 있도록 허용합니다. 다른 모든 MAC는 허용되지 않습니다.
  5. Arista EOS에서 MAC Auth Bypass 를 활성화하려면 활성화된 을(를) 확인하세요. MAC auth bypass를 활성화하면 포트가 인증 시간 제한 기간 내에 인증되지 않은 경우 스위치가 MAC 주소 RADIUS 서버로 보낼 수 있습니다. MAC 인증 바이패스(MAB) 요청은 클라이언트가 RADIUS 요청에 응답하지 않거나 클라이언트가 인증에 실패한 경우에만 전송됩니다.
    참고:

    MAC Auth 바이패스는 802.1X 포트 제어와 함께 구성되어야 합니다.
    주의:

    MAC 인증 우회 실패 동작은 스위치 벤더와 주요 스위치 모델 간에 다를 수 있습니다.
  6. 시간 제한(선택 사항)을 다시 입력하여 시간 기간(초)을 구성합니다. 재인증 시간 제한으로 인해 스위치는 시간 초과가 만료된 후 모든 클라이언트가 네트워크에 다시 인증하도록 요청합니다. 또한 MAC Auth 바이패스를 다시 트리거합니다.

    재인증 시간 초과가 구성되지 않으면 스위치에서 관련 구성이 렌더링되지 않습니다. 즉, 스위치포트는 OS 벤더의 기본값이 무엇이든 됩니다. 값이 구성되면 포트에서 802.1X 재인증이 활성화되고 시간 값이 구성됩니다.

  7. 생성을 클릭하여 인터페이스 정책을 생성하고 테이블 보기로 돌아갑니다.

인터페이스 정책에 포트 및 폴백 VN 할당

이 단계는 인터페이스 정책에 인터페이스 또는 동적 VLAN을 추가합니다.

  1. 청사진에서 staged > 정책 > 인터페이스 정책 으로 이동하고 할당 섹션으로 스크롤합니다.
  2. 포트 및 인터페이스 할당:리프 이름을 클릭하여 인터페이스를 확장한 다음 포트와 인터페이스를 클릭하여 할당합니다. 충돌하는 정책에 할당된 포트를 할당할 수 없습니다.
  3. 폴백 VN 할당:폴백 가상 네트워크를 할당하는 것은 리프에 따라 다릅니다. 여러 리프 디바이스에서 폴백을 다시 사용하려면 각 리프에 폴백을 할당해야 합니다. 리프에 할당된 모든 VN은 대체 가상 네트워크로 사용될 수 있으며 제한은 없습니다.
  4. 정책이 구성되면 해당 설정이 적용된 인터페이스를 포함하여 설정이 표시됩니다.
    참고:

    AAA, Dot1x 및 Dot1x 인터페이스 구성이 이제 리프 디바이스에 푸시됩니다. 다음은 Arista EOS 스위치를 위해 렌더링된 샘플 구성의 일부입니다.